Cyberkriminelle haben in jüngster Zeit verstärkt Wege gefunden, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen und somit Zugriff auf die Konten von hochrangigen Führungskräften zu erlangen. Innerhalb der letzten sechs Monate hat die Zahl der Vorfälle, bei denen Cyberkriminelle Zugang zu den Cloud-Konten führender Persönlichkeiten in bedeutenden Unternehmen erlangten, um mehr als 100 Prozent zugenommen.
Der verstärkte Einsatz von MFA hat zur Verbreitung von Phishing-Kits und -Tools geführt, die dazu dienen, diese wichtige Sicherheitsschicht zu umgehen. Die Cyberkriminellen setzen vermehrt auf sogenannte Adversary-in-the-Middle (AitM)-Phishing-Kits wie EvilProxy, um Anmeldedaten und Sitzungs-Cookies in Echtzeit zu stehlen.
Ein weiterer Trend ist die vermehrte Verwendung von Open-Source-Kits mit „Do-it-yourself-Charakter“, um MFA-Phishing-as-a-Service (PhaaS) zu entwickeln. Selbst wenig technisch versierte Kriminelle können mithilfe von PhaaS nunmehr Anmeldedaten für eine Vielzahl von Online-Diensten ergattern, darunter Gmail, Microsoft, Dropbox, Facebook und Twitter.
Die Angriffe der Cyberkriminellen verlaufen in der Regel in drei Phasen. In der ersten Phase, der Phishing-Phase, verwenden die Angreifer vor allem drei Techniken:
- Markenimitation: Die Angreifer geben sich als vertrauenswürdige Dienste und Anwendungen aus, wie beispielsweise Concur Solutions, DocuSign und Adobe.
- Blockierung von Scans: Um die Analyse ihrer schädlichen Websites durch Sicherheitslösungen zu erschweren, nutzen die Angreifer Schutzvorrichtungen gegen Cyber-Security-Scan-Bots.
- Mehrstufige Infektionskette: Die Angreifer leiten den Datenverkehr über öffentlich zugängliche, legale Weiterleitungen um, darunter YouTube. Dies geht oft einher mit zusätzlichen Schritten wie der Verwendung von bösartigen Cookies und 404-Weiterleitungen.
Die Liste der anvisierten Nutzer umfasst viele hochrangige Ziele, darunter Geschäftsführer, Unternehmensleiter, Führungskräfte auf C-Level-Ebene und Vizepräsidenten in führenden Unternehmen. Diese Personen sind besonders begehrt, da sie potenziell Zugriff auf sensible Daten und Vermögenswerte haben. Unter den Hunderten kompromittierter Benutzer waren etwa 39 Prozent Mitglieder der obersten Führungsebene (C-Level), darunter 17 Prozent Finanzvorstände und 9 Prozent Präsidenten und CEOs. Die Angreifer interessieren sich auch für die untere Führungsebene und konzentrieren ihre Bemühungen auf Mitarbeiter mit Zugang zu Vermögenswerten oder sensiblen Informationen.
Nachdem die Angreifer Zugriff auf das Konto eines Opfers erlangt haben, etablieren sie sich in der Cloud-Umgebung des betroffenen Unternehmens. In mehreren Fällen nutzten die Angreifer eine native Microsoft-365-Anwendung, um MFA-Manipulationen durchzuführen. Mithilfe von „My Sign-Ins“ konnten sie ihre eigene MFA-Methode hinzufügen und somit dauerhaften Zugriff auf kompromittierte Benutzerkonten gewährleisten.
Experten betonen, dass die Anmeldedaten von Mitarbeitern bei Cyberkriminellen äußerst begehrt sind. Sie ermöglichen den Zugriff auf wertvolle oder sensible Unternehmensinformationen und Benutzerkonten. Obwohl Zugangsdaten generell vielfältige Angriffsmöglichkeiten bieten, sind nicht alle Zugangsdaten gleichwertig. Wie unsere Untersuchungen zeigen, richten die Kriminellen oft ihr Augenmerk auf bestimmte Funktionen oder Abteilungen und entwickeln ständig neue Methoden und Techniken, einschließlich der Überwindung der Multi-Faktor-Authentifizierung. Es ist wichtig zu erkennen, dass MFA trotz ihrer Wirksamkeit nicht als Allheilmittel gegen ausgefeilte Cloud-basierte Angriffe betrachtet werden kann. Einmal in das System eingedrungen, können bösartige Akteure unbemerkt in der Unternehmensumgebung verweilen und raffinierte Angriffe nach Belieben durchführen.